Червь, распространяющийся через IRC. Является приложением Windows (PE EXE-файл). Имеет размер 11264 байта. Упакован при помощи UPX, распакованный размер — около 50 КБ.
ИнсталляцияПри запуске вирус копирует свой исполняемый файл в следующий каталог:
c:mirc32dirtysexsluts.scr
Деструктивная активностьЧервь записывает в файл c:mirc32mirc.ini следующие строки:
[rfiles]
n100=safe.ini
Также создает файл, в который записывает свой скрипт:
c:mircsafe.ini
Данный скрипт выполняет позволяет червю выполнять следующие действия на зараженном компьютере:
В случае в канале появления в IRC-канале пользователя с ником «uncahellmang» червь сообщает ему следующую информацию о зараженном компьютере: IP-адрес, тип и версию ОС, текущую дату, время и адрес электронной почты из настроек mIRC.
Всем входящим в канал пользователям червь посылает сообщение:
http://hammer.prohosting.com/~nemo2k/freesex.html
Visit this great NEW site now for 100% FREE Sex Pics And Movies.
No Strings Attached
Вслед за сообщением посылает свою копию, используя сервис DCC:
c:mirc32dirtysexsluts.scr
Вирус открывает большое количество TCP-портов на компьютере пользователя и уведомляет участника канала «uncahellmang» о попытках установки соединения через открытые порты.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить процесс червя.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
c:mirc32dirtysexsluts.scr
c:mircsafe.ini
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
По материалам:
Лаборатори касперского